iSecure logo
Blog

Czy aplikacja chatbot wymaga od administratora podpisania umowy powierzenia przetwarzania danych osobowych?

Aplikacja chatbot staje się nieodłączonym elementem nowoczesnej strony internetowej. Właściciele witryn internetowych chcą być wobec swoich klientów jak najbardziej transparentni i pragną umożliwić nieograniczone możliwości kontaktu. Dlatego też na zainstalowanie chatbota decydują się przede wszystkim sklepy internetowe, przewoźnicy transportujący przesyłki czy hotele. Jakie konsekwencje wobec administratorów wiążą się z wdrożeniem rozwiązania chatbota na stronie internetowej w kontekście obowiązujących zasad ochrony danych osobowych?

Dostawca rozwiązania chatbot – wprowadzenie

Na wstępie należy zaznaczyć, że wdrożenie rozwiązania chatbot na stronie internetowej będzie wiązało się z koniecznością podjęcia współpracy z dostawcą takiej usługi. Właściciele stron internetowych w wielu przypadkach decydują się rozpocząć współpracę z dostawcą, który ma przygotowane narzędzia i uszyte na miarę instrumenty pozwalające na prawidłowe i skuteczne wykorzystania chatbota.

Dlatego też współpraca z dostawcą rozwiązania chatbot może wiązać się z szeregiem obowiązków w zakresie ochrony danych osobowych. Do uzgodnienia pozostaje nie tylko kwestia samej umowy, ale również ewentualne określenie decyzji podejmowanych w sposób automatyczny, czy pokazywanie reklam (wszystko zależy od możliwości chatbota i decyzji administratora). Zainstalowanie wirtualnego asystenta wspierającego obsługę klienta generuje możliwe przetwarzanie danych osobowych. Chatbot może być również wykorzystywany w social mediach, z tego też względu tożsamość podmiotu danych będzie identyfikowalna na poziomie rozpoczęcia rozmowy.

Jak łatwo zauważyć, chatboty wykorzystywane są na stronach internetowych w wielu różnych celach. Część z aplikacji zapewnia nie tylko odpowiedzi na proste pytania zadawane przez klientów bądź potencjalnych klientów, ale również oferuje przekazanie bardziej złożonych informacji. Mogą to być nawet odpowiedzi dotyczące rozpatrzenia reklamacji czy wskazania potencjalnych sposobów rozwiązania problemu opisanego przez użytkownika. Zazwyczaj jednak aplikacje chatbot odpowiadają w bardzo szybki sposób na szereg pytań, np. w jakich godzinach można składać zamówienia, gdzie znajduje się przesyłka.

Jak nietrudno dostrzec, w każdym z określonych przypadków aplikacja chatbot może uzyskać dostęp do szeregu danych osobowych. Z tego też względu uregulowanie współpracy z dostawcą rozwiązania oraz określenie możliwości chatbota jest niezwykle kluczowe do pozostania w pełnej zgodności z przepisami o ochronie danych osobowych.

Umowa powierzenia – czy jest niezbędna?

Decydując się na wdrożenie rozwiązania chatbot na stronie internetowej, przede wszystkim należy rozważyć zawarcie umowy powierzenia przetwarzania danych osobowych na podstawie art. 28 RODO. Jeśli dostawca chatbota będzie miał wgląd do danych osobowych, co do których rolę administratora pełni właściciel strony, wówczas z dostawcą chatbota należy zawrzeć w zakresie ochrony danych osobowych umowę powierzenia przetwarzania danych osobowych. Jeśli już na tym etapie podejmowania współpracy właściciel wie, że dostawca chatbota będzie miał wgląd do danych, trzeba w odpowiedni sposób ustalić zakres powierzenia. Z uwagi na to, że w konwersacjach mogą pojawić się bardzo różne dane osobowe, w tym nawet dane szczególnej kategorii, należy zadbać o odpowiednie zabezpieczanie tego obszaru.

Umowa powierzenia będzie wymagała przede wszystkim określenia prawidłowego zakresu powierzenia przetwarzania danych osobowych. Właściciel strony, pełniący jednocześnie rolę administratora danych powinien w skrupulatny i szczegółowy sposób określić kategorie osób oraz kategorie danych osobowych podlegających powierzeniu do dostawcy. Ponadto, co równie istotne, należy zwrócić uwagę na wdrożone u dostawcy środki organizacyjne i techniczne zapewniające odpowiedni stopień bezpieczeństwa powierzonych danych osobowych. Z tego też względu rekomendowane jest przeprowadzenie wstępnej weryfikacji dostawcy jako podmiotu przetwarzającego dane w imieniu administratora. Najprostszym i najbardziej skutecznym sposobem kontroli może okazać się przesłanie krótkiej ankiety z pytaniami w zakresie bezpieczeństwa i stosowanych rozwiązań w tym zakresie. Po odesłaniu odpowiedzi przez dostawcę, właściciel strony będzie mógł w pełni świadomie zdecydować, czy chce podjąć współpracę z procesorem i czy wdrożone rozwiązania są dla administratora wystarczające.

Dodatkowo, wobec osób kontaktowych oraz reprezentantów występujących po drugiej Stronie, należy spełnić obowiązek informacyjny. Zazwyczaj jest on dołączony do umowy głównej, ale może też stanowić załącznik do umowy powierzenia.

Biorąc powyższe pod uwagę, należy jednoznacznie stwierdzić, że w przypadku otrzymania przez dostawcę chatbota dostępu do danych osobowych, których administratorem jest właściciel witryny internetowej, należy podpisać z dostawcą umowę powierzenia na podstawie art. 28 RODO. Co ważne, trzeba w niej określić zakres powierzenia przetwarzania danych (przede wszystkim wskazanie podmiotów – osób, których dane mogą być przetwarzane, celu przetwarzania – czy tylko bieżący kontakt, czy również reklamacje, możliwość dołączania załączników do konwersacji, rodzaju danych ze wskazaniem konkretnych danych – rozważenie przekazywania przez klientów danych szczególnej kategorii). Opracowując zakres powierzenia, należy bazować na dotychczasowym doświadczeniu w zakresie pytań i konwersacji prowadzonych z klientami.

Inne wymogi poza umową powierzenia – checklista

Aby prawidłowo i w pełni zgodnie z RODO rozpocząć współpracę z firmą oferującą rozwiązanie chatbot, poza zawarciem umowy powierzenia przetwarzania danych osobowych, należy przede wszystkim:

  • Wyznaczyć odpowiednie cele i podstawy prawne przetwarzania danych osobowych;
  • Zrealizować obowiązek informacyjny wobec użytkowników;
  • Wyznaczyć odpowiedni termin retencji danych osobowych przechowywanych w ramach chatbota w zależności od wyznaczonych celów przechowywania (można uwzględnić również terminy obrony przed roszczeniami);
  • Określić możliwości podejmowania automatycznych decyzji, w tym profilowania;
  • Zweryfikować dostawę poprzez przesłanie ankiety weryfikującej poziom wdrożonych zabezpieczeń i stosowanych środków technicznych;
  • Przekazać klauzulę informacyjną dla celów biznesowych (dla reprezentantów i osób kontaktowych występujących po drugiej stronie umowy).

Biorąc powyższe pod uwagę, należy przede wszystkim zweryfikować i doprecyzować kluczowe kwestie jak informację, czy chatbot będzie miał dostęp do danych osobowych klientów właściciela strony internetowej – jeśli będą to dane osobowe, dodatkowo należy przeanalizować kwestię podejmowania zautomatyzowanych decyzji (w zależności od zakresu współpracy i dalszych procesów opartych na danych). Kluczowe może okazać się również określenie, czy chatbot będzie wykorzystywany również do celów marketingowych (przesyłanie reklam, informacji handlowych, tworzenie bazy newsletterowej).

Podsumowanie

Aplikacja chatbot może w wielu aspektach ułatwić klientom korzystanie ze strony internetowej. W prosty i szybki sposób użytkownicy mogą uzyskać odpowiedzi na pytania. Należy jednak pamiętać, że stosowanie tego rodzaju rozwiązań w witrynach internetowych wiąże się z koniecznością usystematyzowania kwestii ochrony danych i ich bezpieczeństwa. Dlatego też zawsze należy dokładnie zweryfikować współpracę z dostawcą rozwiązania chatbot, by w dalszej perspektywie móc wyznaczyć cele związane z zapewnieniem poszanowania zasad ochrony danych przy wdrożeniu chatbota na stronie internetowej.

Pobierz wpis w wersji pdf

Podobne wpisy:

W jaki sposób prawidłowo zawiadomić o naruszeniu podmiot danych?

Zarządzanie incydentami ochrony danych osobowych w organizacji to jedno z większych wyzwań z jakimi mierzą się administratorzy i Inspektorzy Ochrony Danych od momentu funkcjonowania RODO. Obsługa incydentów wymaga podjęciu wielu działań ze strony administratora. W pierwszej kolejności musi być duża świadomość w organizacji takich sytuacji, aby móc szybko i skutecznie zidentyfikować potencjalne naruszenie. Z drugiej […]

Czy powinienem wyznaczyć Inspektora Ochrony Danych?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) określa przypadki, w których wyznaczenie Inspektora Ochrony Danych (IOD) przez Administratora Danych Osobowych (ADO) jest obowiązkowe.
Nawet gdy przepisy nie nakładają konkretnego obowiązku wyznaczenia IOD lub gdy nie jesteśmy do końca pewni czy obowiązek dotyczy naszej organizacji czy też nie, zaleca się rozważenie dobrowolnego wyznaczenia takiej osoby.

Jak zabezpieczyć dane osobowe graczy na forum internetowym?

Wiele firm z branży gamedev jest w stałym kontakcie ze społecznością graczy. Często taka relacja zaczyna się na długo przed wydaniem gry, czasami może to być etap beta – testów albo tzw. early access (tu świetnym przykładem może być chyba największy hit 2023 r. czyli Baldur’s Gate 3) podczas którego gracze mają możliwość przetestować dany […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki